腾讯科技 林靖东12月23日编译
EMC旗下安全厂商RSA Security否认了之前关于它与NSA签订秘密协议的报道。之前的报道声称,RSA Security收受了NSA的1000万美金,在电脑安全算法中安置后门。
据知情人士上周末透露,作为美国国家安全部(NSA)推广Dual-EC-DRBG计划的部分内容,RSA使用该算法就可以帮助NSA奋力争取将其纳入美国国家标准技术局的《关于使用决定性随机数生成器来随机生成数字的建议》之中。
RSA今日发表博客文章表示:“最近有媒体声称RSA与NSA达成了秘密协议,将已知带有漏洞的随机数生成器加入其BSAFE加密库。我们坚决否认这项指控。”
RSA称,它作出使用Dual-EC-DRBG的决定的时间是2004年,当时那种算法只是它提供给用户的众多算法中的一种。
它表示:“作为一家安全公司,RSA绝对不会泄露客户合约的细节,但是我们还是要郑重声明,我们从未签订过任何秘密协议,或是参与过有损RSA产品的任何计划,或在我们的产品中预留后门供某些人使用。”
Dual-EC-DRBG是一种备受质疑的密码算法,一直是业内人士抨击的对象。2007年11月,安全专家布鲁斯席内尔(Bruce Schneier)在该算法使用的秘密常量中详细解释了其漏洞。
席内尔写道:“如果你知道秘密数字,那么你只要搜集了32字节的输出结果,你就可以预测出随机数生成器输出的结果。”
他继续说:“在实际应用中,你只要监视一条TLS网络加密链接,就可以攻破那个协议的安全防线。如果你知道秘密数字,你可以完全破解任何一个Dual-EC-DRBG实例。”
9月份,美国国家标准技术局建议不要使用Dual-EC-DRBG。随后RSA也发出了同样的建议书。据爱德华斯诺登(Edward Snowden)发布的文件称,Dual-EC-DRBG中包含一个后门,是专为NSA预留的。